Każda firma przetwarza dane osobowe i musi stosować RODO. Sprawdź, jak przygotować rejestr czynności, klauzule informacyjne i podstawowe procedury ochrony danych.
Ochrona danych osobowych to obowiązek, który dotyczy niemal każdego przedsiębiorcy – niezależnie od wielkości firmy czy branży. RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, obowiązuje w Polsce od maja 2018 roku, a mimo to wiele małych i średnich firm nadal nie wdrożyło nawet jego podstawowych wymogów. W tym artykule wyjaśniamy, od czego zacząć, jakie dokumenty są niezbędne i jak uniknąć najczęstszych błędów. Pokażemy też, w jaki sposób biuro rachunkowe może wesprzeć przedsiębiorcę w zakresie dokumentacji kadrowej i finansowej powiązanej z RODO.
RODO reguluje zasady zbierania, przechowywania i przetwarzania danych osobowych – czyli wszelkich informacji, które pozwalają zidentyfikować konkretną osobę fizyczną. Dotyczy to m.in. danych klientów, pracowników, kontrahentów czy użytkowników strony internetowej. Obowiązki wynikające z RODO mają: • jednoosobowe działalności gospodarcze (JDG), • spółki z o.o. i inne spółki prawa handlowego, • stowarzyszenia, fundacje i inne podmioty. Nie ma dolnego progu zatrudnienia ani obrotu – jeśli przetwarzasz dane osobowe w celach zawodowych, RODO Cię obowiązuje. Brak wdrożenia przepisów może skutkować karą finansową do 20 mln euro lub 4% globalnego obrotu rocznego, a także roszczeniami ze strony osób, których dane dotyczą.
Każde przetwarzanie danych osobowych musi mieć podstawę prawną. RODO wskazuje sześć takich podstaw, z których w praktyce biznesowej najczęściej stosuje się: 1. Wykonanie umowy – dane klientów przetwarzane w celu realizacji zamówienia lub usługi. 2. Obowiązek prawny – dane pracowników przetwarzane na potrzeby kadrowo-płacowe i podatkowe. 3. Prawnie uzasadniony interes administratora – np. marketing bezpośredni wobec obecnych klientów. 4. Zgoda osoby – wymagana m.in. przy newsletter lub przetwarzaniu danych wrażliwych. Wybór właściwej podstawy prawnej jest kluczowy – wpływa na zakres obowiązków informacyjnych i czas przechowywania danych. Błędne zakwalifikowanie podstawy to jeden z najczęstszych błędów wykrywanych przez Urząd Ochrony Danych Osobowych (UODO).
Rejestr czynności przetwarzania (RCP) to wewnętrzny dokument, który opisuje, jakie dane firma zbiera, w jakim celu, na jakiej podstawie prawnej i jak długo je przechowuje. Prowadzenie rejestru jest obowiązkowe dla administratorów danych (a więc dla zdecydowanej większości firm). Rejestr powinien zawierać: • nazwę i dane kontaktowe administratora, • cele przetwarzania (np. obsługa klientów, zatrudnienie, księgowość), • kategorie osób i danych (np. pracownicy – dane kadrowe i płacowe), • odbiorców danych (np. biuro rachunkowe, ZUS, US), • planowane terminy usunięcia danych, • opis technicznych i organizacyjnych środków bezpieczeństwa. Rejestr nie musi być skomplikowany – wystarczy czytelna tabela w Excelu lub dedykowane narzędzie. Ważne, by był aktualny i dostępny na wypadek kontroli UODO.
Obowiązek informacyjny to jeden z filarów RODO. Administrator musi poinformować osobę, której dane zbiera, o tym: kto jest administratorem, w jakim celu i na jakiej podstawie przetwarza dane, komu je udostępnia oraz jak długo je przechowuje. Klauzule informacyjne należy stosować m.in.: • na formularzach rekrutacyjnych (dla kandydatów do pracy), • w umowach z klientami i kontrahentami, • na stronie internetowej (formularze kontaktowe, zapisy na newsletter), • przy zawieraniu umów o pracę lub zlecenia. Klauzula powinna być napisana prostym językiem – zrozumiałym dla przeciętnego odbiorcy, nie tylko prawnika. Unikaj kopiowania gotowych wzorów bez dostosowania ich do specyfiki Twojej firmy, bo często są zbyt ogólne lub nieaktualne.
Jeśli przekazujesz dane osobowe innemu podmiotowi, który przetwarza je w Twoim imieniu, musisz zawrzeć umowę powierzenia przetwarzania danych (UPP). Dotyczy to m.in. sytuacji, gdy: • korzystasz z usług biura rachunkowego (dostęp do danych pracowników i klientów), • używasz zewnętrznego oprogramowania CRM lub kadrowo-płacowego w chmurze, • zlecasz obsługę IT firmie zewnętrznej, • współpracujesz z agencją marketingową zarządzającą bazą mailingową. UPP musi być zawarta na piśmie (lub w formie elektronicznej) i określać m.in. przedmiot, czas trwania, charakter i cel przetwarzania. Brak takiej umowy to poważne naruszenie RODO – zarówno po stronie administratora, jak i podmiotu przetwarzającego.
Podczas kontroli UODO i audytów wewnętrznych najczęściej ujawniane są następujące uchybienia: 1. Brak lub nieaktualny rejestr czynności przetwarzania. 2. Stosowanie jednej, ogólnej klauzuli informacyjnej do wszystkich celów. 3. Brak umów powierzenia z biurem rachunkowym, dostawcami IT czy agencjami. 4. Przechowywanie danych dłużej niż to konieczne (np. CV kandydatów po kilku latach). 5. Niezabezpieczone dokumenty papierowe lub brak polityki czystego biurka. 6. Brak procedury reagowania na naruszenia ochrony danych. Dobra wiadomość: większość tych błędów można wyeliminować stosunkowo szybko, ustalając jasne procedury i przypisując odpowiedzialność konkretnym osobom w firmie. Wdrożenie RODO nie musi być kosztowne – wymaga przede wszystkim czasu i systematyczności.
Wdrożenie RODO w firmie to nie jednorazowe zadanie, lecz ciągły proces – dokumenty trzeba aktualizować, a pracownicy powinni znać podstawowe zasady ochrony danych. Jeśli prowadzisz JDG lub spółkę i chcesz upewnić się, że Twoja dokumentacja kadrowo-płacowa oraz współpraca z biurem rachunkowym spełniają wymogi RODO, skontaktuj się z Danexis. Nasi specjaliści pomogą Ci zorganizować dokumentację i wskazać, jakie kroki podjąć jako pierwsze. Zadzwoń pod numer +48 780 760 666 lub napisz na kontakt@danexis.pl.